Hai phương pháp chính được sử dụng để phát hiện xâm nhập là gì?

Hệ thống phát hiện xâm nhập (IDS) là một hệ thống giám sát lưu lượng mạng để tìm hoạt động đáng ngờ và đưa ra cảnh báo khi phát hiện ra hoạt động đó. Đây là một ứng dụng phần mềm quét mạng hoặc hệ thống để tìm hoạt động có hại hoặc vi phạm chính sách. Mọi hoạt động mạo hiểm hoặc vi phạm có ác ý thường được báo cáo cho quản trị viên hoặc được thu thập tập trung bằng cách sử dụng hệ thống quản lý sự kiện và thông tin bảo mật (SIEM). Hệ thống SIEM tích hợp đầu ra từ nhiều nguồn và sử dụng các kỹ thuật lọc cảnh báo để phân biệt hoạt động nguy hiểm với cảnh báo sai

Mặc dù các hệ thống phát hiện xâm nhập giám sát các mạng để phát hiện hoạt động độc hại tiềm ẩn, nhưng chúng cũng bị xử lý để báo động sai. Do đó, các tổ chức cần tinh chỉnh các sản phẩm IDS của mình khi cài đặt chúng lần đầu tiên. Nó có nghĩa là thiết lập đúng cách các hệ thống phát hiện xâm nhập để nhận ra lưu lượng truy cập bình thường trên mạng trông như thế nào so với hoạt động độc hại

Các hệ thống ngăn chặn xâm nhập cũng giám sát các gói mạng trong hệ thống để kiểm tra các hoạt động độc hại liên quan đến nó và gửi thông báo cảnh báo ngay lập tức

Phân loại hệ thống phát hiện xâm nhập.
IDS được phân thành 5 loại.

1. Hệ thống phát hiện xâm nhập mạng (NIDS).
   Hệ thống phát hiện xâm nhập mạng (NIDS) được thiết lập tại một điểm đã lên kế hoạch trong mạng để kiểm tra lưu lượng truy cập từ tất cả các thiết bị trên mạng. Nó thực hiện quan sát lưu lượng truyền trên toàn bộ mạng con và so khớp lưu lượng được truyền trên các mạng con với tập hợp các cuộc tấn công đã biết. Khi một cuộc tấn công được xác định hoặc hành vi bất thường được quan sát thấy, cảnh báo có thể được gửi đến quản trị viên. Một ví dụ về NIDS đang cài đặt nó trên mạng con nơi đặt tường lửa để xem có ai đó đang cố bẻ khóa tường lửa không.
2. Hệ thống phát hiện xâm nhập máy chủ (HIDS).
   Hệ thống phát hiện xâm nhập máy chủ (HIDS) chạy trên các máy chủ hoặc thiết bị độc lập trên mạng. HIDS chỉ giám sát các gói đến và đi từ thiết bị và sẽ cảnh báo cho quản trị viên nếu phát hiện hoạt động đáng ngờ hoặc độc hại. Nó chụp nhanh các tệp hệ thống hiện có và so sánh nó với ảnh chụp nhanh trước đó. Nếu các tệp hệ thống phân tích đã bị chỉnh sửa hoặc xóa, một cảnh báo sẽ được gửi đến quản trị viên để điều tra. Có thể thấy một ví dụ về cách sử dụng HIDS trên các máy quan trọng, dự kiến ​​sẽ không thay đổi bố cục của chúng.
3. Hệ thống phát hiện xâm nhập dựa trên giao thức (PIDS).
   Hệ thống phát hiện xâm nhập dựa trên giao thức (PIDS) bao gồm một hệ thống hoặc tác nhân luôn nằm ở giao diện người dùng của máy chủ, kiểm soát và diễn giải giao thức giữa người dùng/thiết bị và máy chủ. Nó đang cố gắng bảo mật máy chủ web bằng cách thường xuyên theo dõi luồng giao thức HTTPS và chấp nhận giao thức HTTP có liên quan. Vì HTTPS không được mã hóa và trước khi vào lớp trình bày web của nó ngay lập tức, hệ thống này sẽ cần nằm trong giao diện này, giữa để sử dụng HTTPS.
4. Hệ thống phát hiện xâm nhập dựa trên giao thức ứng dụng (APIDS).
   Hệ thống phát hiện xâm nhập dựa trên giao thức ứng dụng (APIDS) là một hệ thống hoặc tác nhân thường nằm trong một nhóm máy chủ. Nó xác định các cuộc xâm nhập bằng cách theo dõi và giải thích thông tin liên lạc trên các giao thức dành riêng cho ứng dụng. Ví dụ: điều này sẽ giám sát giao thức SQL rõ ràng đối với phần mềm trung gian khi nó giao dịch với cơ sở dữ liệu trong máy chủ web.
5. Hệ thống phát hiện xâm nhập hỗn hợp.
   Hệ thống phát hiện xâm nhập kết hợp được tạo ra bởi sự kết hợp của hai hoặc nhiều cách tiếp cận của hệ thống phát hiện xâm nhập. Trong hệ thống phát hiện xâm nhập kết hợp, tác nhân máy chủ hoặc dữ liệu hệ thống được kết hợp với thông tin mạng để phát triển một cái nhìn hoàn chỉnh về hệ thống mạng. Hệ thống phát hiện xâm nhập hỗn hợp hiệu quả hơn so với các hệ thống phát hiện xâm nhập khác. Khúc dạo đầu là một ví dụ về Hybrid IDS.

Phương pháp phát hiện IDS

1. Phương pháp dựa trên chữ ký.
   IDS dựa trên chữ ký phát hiện các cuộc tấn công trên cơ sở các mẫu cụ thể như số byte hoặc số 1 hoặc số 0 trong lưu lượng mạng. Nó cũng phát hiện trên cơ sở chuỗi hướng dẫn độc hại đã biết được sử dụng bởi phần mềm độc hại. Các mẫu được phát hiện trong IDS được gọi là chữ ký.

   IDS dựa trên chữ ký có thể dễ dàng phát hiện các cuộc tấn công có mẫu (chữ ký) đã tồn tại trong hệ thống nhưng khá khó phát hiện các cuộc tấn công phần mềm độc hại mới do không biết mẫu (chữ ký) của chúng

   Không có chiến lược bảo mật nào là hoàn hảo, nhưng những chiến lược hoạt động qua nhiều lớp sẽ tốt hơn những chiến lược không có. Ví dụ, tại nhiều tổ chức, giải pháp phát hiện xâm nhập/ngăn chặn xâm nhập (IDS/IPS) đã được triển khai trong nhiều năm như một sự kết hợp hợp lý với một hoặc nhiều tường lửa.

   ý tưởng thật đơn giản. nếu tường lửa cấu thành một điểm vào cơ sở hạ tầng, các giải pháp IDS/IPS sử dụng nhiều kỹ thuật phát hiện xâm nhập khác nhau để tạo thành một loại bảo vệ thứ cấp, được thiết kế để đánh giá những gì đang xảy ra bên ngoài tường lửa và thực hiện hành động trực tiếp khi có vấn đề phát sinh hoặc

   Nhân tiện, không nên nhầm lẫn IDS / IPS với các giải pháp quản lý sự kiện và thông tin bảo mật (SIEM) và phân tích hành vi người dùng — UBA — các giải pháp mà tôi đã viết gần đây. Có gì khác biệt? . IDS / IPS theo quy định không sử dụng máy học và giải quyết các sự kiện hoặc hoạt động kỹ thuật theo nghĩa chung hơn

   Các tổ chức lo lắng về botnet và các cuộc tấn công DDOS thường tận dụng các giải pháp IDS/IPS để giảm thiểu mối đe dọa đó. Chẳng hạn, các khả năng của IDS / IPS thường có thể xác định lưu lượng truy cập ra bên ngoài giả mạo — như điểm cuối bị nhiễm phần mềm độc hại đang cố gắng liên lạc với máy chủ botnet ra lệnh và kiểm soát để nhận hướng dẫn. Điều này làm cho việc tìm điểm cuối và chặn lưu lượng truy cập đáng ngờ đến/đi từ điểm cuối dễ dàng hơn nhiều. Nó cũng giúp cách ly các điểm cuối và chấm dứt hành vi nguy hiểm ngay cả khi chúng trở thành con mồi của phần mềm độc hại

   Chúng ta hãy xem xét kỹ hơn một số khả năng và kỹ thuật chính được sử dụng bởi các loại giải pháp IDS/IPS khác nhau

   Xem xét các giải pháp và thực tiễn tốt nhất của IDS/IPS

   IDS so với. cách tiếp cận IPS

   IDS và IPS có liên quan và thường được kết hợp với nhau, nhưng chúng khá khác nhau ở mức cơ bản. Phát hiện xâm nhập là một hình thức giám sát mạng thụ động, trong đó lưu lượng được kiểm tra ở cấp độ gói và kết quả phân tích được ghi lại. Mặt khác, ngăn chặn xâm nhập là một cách tiếp cận chủ động hơn, trong đó các mẫu có vấn đề dẫn đến hành động trực tiếp của chính giải pháp để chống lại vi phạm

   Dựa trên máy chủ so với. dựa trên mạng so với. kỹ thuật phát hiện xâm nhập dựa trên ứng dụng

   Sự khác biệt ở đây chủ yếu liên quan đến yếu tố trừu tượng của cơ sở hạ tầng đang được đề cập

   Các kỹ thuật phát hiện xâm nhập dựa trên máy chủ xoay quanh các máy chủ riêng lẻ — thường là các máy chủ — bằng cách giám sát ổ cứng và cả các gói gửi đến và gửi đi, đồng thời liên tục so sánh kết quả với hình ảnh máy chủ được tạo trước và luồng gói dự kiến ​​của máy chủ. Ý tưởng là tìm kiếm những thay đổi độc hại cả trong nội dung logic của máy chủ cũng như hoạt động của máy chủ. Nó thường dựa vào máy khách cục bộ hoặc tác nhân của hệ thống IDS được cài đặt trên máy chủ

   Các kỹ thuật phát hiện xâm nhập dựa trên ứng dụng mở rộng phạm vi cho một ứng dụng theo nghĩa trừu tượng — nghĩa là mọi thứ trong cơ sở hạ tầng liên quan đến cách ứng dụng đó hoạt động, nhưng chỉ ứng dụng đó. Các giải pháp này được sử dụng cho các ứng dụng thực hiện các chức năng đặc biệt quan trọng đối với tổ chức, vì hậu quả tiềm ẩn của vi phạm là rất cao

   Các kỹ thuật phát hiện xâm nhập dựa trên mạng mở rộng phạm vi phủ sóng hơn nữa cho tất cả các thiết bị trên mạng hoặc mạng con (đôi khi, nhiều trường hợp giải pháp cộng tác để thực hiện điều này, do lưu lượng truy cập). Bởi vì chúng là chung chung nhất, nên đôi khi chúng bỏ sót các vấn đề mà hai cái còn lại có thể phát hiện ra

   Một loạt các phương pháp và kỹ thuật phát hiện IDS/IPS

   Bây giờ, hãy xem xét một số cách thức phổ biến mà các giải pháp IDS/IPS thực sự hoạt động để đạt được những mục tiêu này

   Kỹ thuật phát hiện xâm nhập dựa trên sự bất thường

   Còn được gọi là dựa trên hành vi, các giải pháp này theo dõi hoạt động trong phạm vi cụ thể (xem ở trên) để tìm kiếm các trường hợp có hành vi nguy hiểm — ít nhất, như họ định nghĩa, đây là một công việc khó khăn và đôi khi dẫn đến kết quả dương tính giả. Ví dụ: các URL gửi ra ngoài của hoạt động Web có thể được xem xét và các trang web liên quan đến các miền nhất định hoặc độ dài/nội dung URL có thể tự động bị chặn, ngay cả khi đó là một người đang cố truy cập vào đó (không phải phần mềm độc hại) và người dùng đó có quyền kinh doanh hợp pháp.

   Kỹ thuật phát hiện xâm nhập dựa trên chữ ký

   Cách tiếp cận này, còn được gọi là dựa trên tri thức, liên quan đến việc tìm kiếm các chữ ký cụ thể - các tổ hợp byte - mà khi chúng xuất hiện, hầu như luôn ám chỉ tin xấu. Đọc. bản thân phần mềm độc hại hoặc các gói được gửi bởi phần mềm độc hại trong nỗ lực tạo hoặc tận dụng vi phạm bảo mật. Các giải pháp này tạo ra ít kết quả sai hơn so với các giải pháp bất thường vì tiêu chí tìm kiếm rất cụ thể, nhưng chúng cũng chỉ bao gồm các chữ ký đã có trong cơ sở dữ liệu tìm kiếm (có nghĩa là các cuộc tấn công mới thực sự có tỷ lệ thành công cao)

   Quản lý bảo mật hợp nhất

   Một nền tảng kết hợp các khả năng bảo mật thiết yếu, bao gồm IDS, khám phá nội dung và quản lý nhật ký SIEM

   Tìm hiểu thêm

   Tương lai của IDS/IPS

   Đương nhiên, các tổ chức nên xem xét tất cả các kỹ thuật phát hiện xâm nhập này trong ngữ cảnh — chọn cách tiếp cận IDS/IPS hợp lý sẽ kết hợp tốt với ngữ cảnh của họ, cũng như tương tác với các yếu tố khác của toàn bộ cơ sở hạ tầng bảo mật

   Trong tương lai, chúng tôi hy vọng các giải pháp IDS / IPS sẽ phát triển theo cách tích hợp với nhiều giải pháp cơ sở hạ tầng hơn, cũng như kết hợp các chiến lược mới ở cấp độ cơ bản

   Ví dụ: thông qua các khả năng của mạng nơ-ron/trí tuệ nhân tạo, các giải pháp dựa trên sự bất thường của IDS/IPS sẽ có thể dự đoán và nhận dạng chính xác hơn hoạt động “bình thường” — điều này cũng có nghĩa là chúng sẽ có thể phát hiện ra hoạt động độc hại nhanh hơn và tạo ra nhiều

   Hai phương pháp phát hiện xâm nhập là gì?

   Các loại hệ thống phát hiện xâm nhập là gì? . Hệ thống phát hiện xâm nhập mạng (NIDS). Hệ thống phát hiện xâm nhập máy chủ (HIDS) .

   Các loại chính của hệ thống phát hiện xâm nhập là gì?

   5 Các loại hệ thống phát hiện xâm nhập khác nhau .

   Hệ thống phát hiện xâm nhập mạng. .

   Hệ thống phát hiện xâm nhập nút mạng. .

   Hệ thống phát hiện xâm nhập máy chủ. .

   Hệ thống phát hiện xâm nhập dựa trên giao thức. .

   Hệ thống phát hiện xâm nhập dựa trên giao thức ứng dụng

   Hai loại chính của hệ thống phát hiện xâm nhập quizlet là gì?

   Hai loại hệ thống phát hiện xâm nhập (IDS) chính là. hệ thống phát hiện xâm nhập dựa trên mạng (NIDS) và hệ thống phát hiện xâm nhập dựa trên máy chủ (HIDS) .

   Hai 2 phương pháp chính được sử dụng bởi các hệ thống ngăn chặn xâm nhập IPS để phát hiện ra một khai thác là gì?

   Phát hiện chữ ký cho IPS được chia thành hai loại. Chữ ký đối mặt với hành vi khai thác xác định các hành vi khai thác riêng lẻ bằng cách kích hoạt các mẫu duy nhất của một nỗ lực khai thác cụ thể. IPS có thể xác định các khai thác cụ thể bằng cách tìm kết quả phù hợp với chữ ký đối mặt với khai thác trong luồng lưu lượng truy cập.